LGPD: o que é e como funciona a regra da privacidade on-line

Tempo de leitura 9 minutos | Ver versão limpa

Se você tem um banco de dados com informações de seus clientes e não está por dentro da LGPD, pode acender o sinal amarelo! A lei traz uma série de regras que devem ser seguidas à risca e punem rigorosamente vazamento de dados. 

A LGPD, vulgo “elegêpedê”, veio justamente para evitar novas crises com violação de privacidade e colocar limite no que empresas podem fazer com as informações de clientes. Mas você sabe o que diz essa lei e como ela funciona na prática?

O que é LGPD?

A sigla significa Lei Geral de Proteção de Dados, forma como é mais conhecida, mas na realidade a lei foi batizada de Lei Geral de Proteção de Dados Pessoais. O objetivo da mesma é garantir ao usuário um maior controle acerca dos seus dados e mais privacidade, visando assim escapar do mal uso por terceiros. Outra serventia da lei é deixar claro quando e como uma empresa pode fazer uso desses dados como armazenar, processar, transferir ou mesmo vender.

Leis de proteção à privacidade pelo mundo

A lei não é uma norma que surgiu do nada. Houve vários casos de diferentes empresas que deixaram clientes e usuários vulneráveis, com seus dados desprotegidos. Não apenas no Brasil, mas casos em todo o mundo fizeram os parlamentos estudarem o assunto para regulamentar a prática e evitar novos escândalos.

Na Europa, por exemplo, vigora o RGPD ou GDPR – Regulamento Geral de Proteção de Dados da União Europeia e a Califórnia, nos EUA, também tem suas regras. A lei brasileira é fortemente inspirada na norma da Comunidade Europeia.

Vazamento de dados: problema global

Vejamos alguns dos casos mais famosos de vazamento de dados que acenderam o alerta:

  1. Caso Adobe: No ano de 2013, após um ataque, mais de 38 milhões de dados entre nomes, senhas e informações de cartão de crédito dos usuários dos softwares foram vazadas. O que deu uma aliviada no caso foi o fato de que parte das informações estavam criptografadas, mas ainda assim a gravidade da questão não deve ser amenizada.
  2. Caso Uber: Também alvo de criminosos, em 2016, mais ou menos 57 milhões de usuários e motoristas tiveram seus dados vazados. Dados como nome, endereço eletrônico, números de cartão de crédito e coisas do tipo.
  3. Caso Ashley Madison: Esse pode ser considerado um dos casos mais delicados porque se trata de um site de relacionamentos adulto. Depois de um ataque feito por um coletivo de hackers, foram publicados aproximadamente 30 GB de dados dos clientes do site. Entre as informações, haviam algumas consideradas mais pessoais e sensíveis ainda, como a orientação e preferência sexual dos usuários.
  4. Caso Target: A rede de lojas teve o seu banco de dados atacados e 70 milhões de consumidores afetados. O prejuízo também foi enorme, cerca de 3 bilhões de dólares.
  5. Caso Playstation Network: Em 2011, os servidores da Sony foram invadidos, ficaram fora do ar por mais de um mês e atingiu 77 milhões de clientes.
  6. Caso Yahoo: Desta vez o alvo foram contas de e-mail em 2013, atingindo cerca de 3 bilhões de contas. No entanto, depois de exaustivas investigações, que chegaram a durar anos, os usuários puderam suspirar mais aliviados visto que seus dados bancários tinham sido preservados.
  7. Caso Steam: Desse não se sabe muita coisa, como o número de usuários atingidos, por exemplo. Entretanto, o ataque ocorreu em 2011 e hackers tiveram acesso a informações como logins e números de cartão de crédito.
  8. Caso Banco Inter: No ano de 2018, houve um vazamento na empresa brasileira que ocasionou a vulnerabilidade de mais ou menos 19 mil correntistas. Os hackers tinham por objetivo extorquir a empresa uma vez que ela tinha acabado de começar a negociar suas ações na bolsa de valores.
  9. Caso Facebook: Por último, mas não menos importante, esse caso pode ser considerado o mais famoso. Dessa vez não houve ataque ou ação de hackers. Uma empresa de consultoria de marketing digital, a Cambridge Analytica, encontrou uma brecha nos termos de uso da rede social para conseguir acesso aos dados do usuário e os utilizava na campanha eleitoral de 2016, em prol do então candidato Donald Trump.

Proteção de dados

A LGPD tem como premissa a segurança de forma que a revolução tecnológica seja garantida. Existem alguns pontos de vista diferentes em relação a aplicação da lei, como podemos ver abaixo:

  • Cidadão: na maioria dos casos é o próprio que vai decidir como quer que seus dados sejam tratados, mas também tem o poder de acessar, corrigir, fazer portabilidade, revogar, opor-se e eliminar dados, por exemplo.
  • Empresa: tem a obrigação de se adequar à legislação, caso contrário, não se manterá no mercado e as penalidades vão além de multas. Estamos falando de reputação e confiança abaladas, impactando negativamente clientes, parceiros e colaboradores.
  • Governo: a lei é regulada pela Autoridade Nacional de Proteção de Dados que antes mesmo de penalizar e até mesmo fiscalizar, está ali para orientar a aplicação da legislação.

Pontos principais da LGPD

Focando a privacidade, termos importantes norteiam a lei. Já citamos alguns aqui, mas vamos conferir os doze principais pontos sobre a LGPD:

  1. Escopo de aplicação – Art. 1º: Afeta toda e qualquer atividade que tiver utilização de dados pessoais.
  2. Direitos dos titulares de dados – Art. 17 a 22: o cidadão que manda e desmanda.
  3. Princípios de proteção de dados – Art. 6º: 10 princípios que incluem, por exemplo, a prestação de contas.
  4. Autorização para o tratamento de dados – Art. 7º: 10 possibilidades que irão legitimar o tratamento de dados, como o consentimento.
  5. Autoridade: Autoridade Nacional de Proteção de Dados.
  6. Notificações obrigatórias – Art. 48: Os incidentes devem ser relatados.
  7. Aplicação extraterritorial – Art. 3º: Inclui empresas que não têm sede no Brasil.
  8. Dados: sensíveis, de menores e transferência internacional – Art. 11, 14 e 33: Há regras específicas para esses casos.
  9. Assessment sobre o tratamento de dados – Art. 38: Semelhante ao DPIA.
  10. Mapeamento do tratamento de dados – Art. 37: Relatórios sobre como os dados são tratados precisam ser registrados.
  11. Data Protection officer (DPO) – Art. 41: Deverá existir um Encarregado pelo tratamento de dados.
  12. Sanções: As multas são de até 50 milhões de reais, entre outras penalidades.

Em resumo, a lei se aplica à qualquer indivíduo que trate dados pessoais, especialmente em meios digitais, mas não apenas neles. A lei entende dados pessoais como qualquer informação que possa levar à identificação de alguém direta ou indiretamente. Na prática, a legislação consegue ser bem abrangente, mas abarca a maior parte de projetos e atividades da rotina empresarial. E aí, seja como pessoa física ou jurídica, já aprendeu como se comportar com a LGPD?

Atualização

Depois de uma medida provisória editada em agosto para, entre outras coisas, adiar a entrada em vigor da LGPD por conta da pandemia, o Senado resolveu não adiar tanto quanto o previsto inicialmente e foi decidido pela data de 18 de setembro de 2020. Mas atenção: as alterações das datas são se estendem às punições por descumprimento da lei, as mesmas só entrarão em vigor em agosto de 2021!

Dos nossos disrupters. A equipe de redatores da Ayoo tem o compromisso de entregar conteúdo de qualidade para que cada um dos leitores possa aplicar o conhecimento à sua realidade. Não damos receita pronta, mas ajudamos a direcionar o olhar de forma que cada um possa dar longevidade à sua relevância.

 

Veja todos os posts deste autor...
O que achou? Deixe seu comentário